[发明专利]一种基于非内容分析的判断钓鱼网站的方法

说明书

技术领域

本发明涉及一种判断钓鱼网站的方法，尤其是涉及一种基于非内容分析的判断钓鱼网站的方法。

背景技术

所谓“钓鱼网站”是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料，并凭借骗取的用户信息进一步获取经济利益。

“钓鱼网站”近来在全球频繁出现，严重地影响了在线金融服务、电子商务的发展，危害公众利益，影响公众应用互联网的信心。钓鱼网站通常伪装成为银行网站，窃取访问者提交的账号和密码信息。现在的钓鱼网站不仅通过电子邮件传播，更多的是通过聊天工具、论坛、搜索引擎来传播，比如在邮件中加入一个经过伪装的链接将收件人联到钓鱼网站。钓鱼网站的页面与真实网站界面基本一致，要求访问者提交账号和密码。一般来说钓鱼网站结构很简单，只有一个或几个页 面，URL和真实网站有细微差别。

常规的钓鱼网站鉴别方法包括对网站的URL和具体内容进行鉴别。对于对网站的内容进行鉴别需要将网站信息发送给服务器，并由服务器根据其海量数据和超强运算能力对网站内容进行鉴别，再将判断结果发给客户端，这需要一定的处理时间；对于基于URL的判断，安全服务商需建立完整的钓鱼网站数据库，尽量收集已知的钓鱼网站URL样本，在基于已知的URL样本对待鉴别url做出判断，这对于首次出现的钓鱼网站，因安全服务商的数据库内没有对应的样本，无法对首次出现的钓鱼网站做出预警。

发明内容

针对以上情况，本发明提供一种基于非内容分析的判断钓鱼网站的方法, 通过将待鉴别网站的URL数据对比已知钓鱼网站的URL数据，实现对首次出现的钓鱼网站的预警判断。

本发明的技术方案是：

一种基于非内容分析的判断钓鱼网站的方法，包括设置在用户机器上的客户端以及设置在安全服务提供商侧的服务器端，所述服务器端具有存储有现有已知钓鱼网站URL信息的黑名单、存储有现有已知非钓鱼网站URL信息的白名单、存储有钓鱼网站密集分布的域名信息的高危域名数据库以及含有从历史数据中统计出的钓鱼网站常用规律规则的规则库，所述方法还包括以下步骤：

1) 所述客户端将用户访问的未知网站的URL数据发送至所述服务器端；

2) 所述服务器端接收客户端发送的未知网站的URL数据，并将所述URL数据与黑名单中的数据相比较，如果所述URL处于黑名单中则终止处理并将结果返回至客户端，如果所述URL不处于黑名单中则进行下一步骤；

3) 将所述URL数据与白名单中的数据相比较，如果所述URL处于白名单中则终止处理并将结果返回至客户端，如果所述URL不处于白名单中则进行下一步骤；

4) 将所述URL数据与高危域名数据库中的数据相比较，如果不相符则终止处理并将结果返回至客户端，如果所述URL与高危域名数据库中的数据相符则进行下一步骤；

5) 将所述URL数据与规则库中的数据相比较，如果所述URL命中了URL规则，服务器端则要求客户端上传所述URL的关键信息，所述关键信息包括所述URL的标题、关键字以及描述信息，服务器端再基于所述高危域名数据库、规则库以及关键信息三部分进行判断，并将结果返回给客户端；

6) 所述客户端根据所述服务器端返回的结果允许或者拒绝用户继续访问所述网站，并给出相应的拒绝访问说明。

作为以上技术方案的一种改进，每一判断为钓鱼网站的URL数据均被加入到所述黑、白名单、高危域名数据库以及规则库中作为已知钓鱼网站的样本数据。

本发明的有益效果是：

采用本发明所提供的钓鱼网站判断方法，能大大加快钓鱼网站的判断速度，并且能够克服现有URL判断方法对首次出现的钓鱼网站失效的缺点。本方法采用适当的算法在已知钓鱼网站的URL数据中提取对比数据，对未知网站的URL数据进行比较，并结合网站的一些关键信息进行判断，具有方便、快捷、高效、适用性广的优点。

附图说明

图1为本发明的流程图。

具体实施方式

在本发明的一个具体实施例中，本方法可通过一个含有可互相通信的客户端和服务器端的安全系统所实现，其中客户端可以是安装在用户机器上的安全防护软件或者是所述安全防护软件的一部分，而对应地，服务器端可以是设置在安全提供商侧的中心服务器，为所有与其连接的客户端提供后台服务。